ISMS-P 1.2.4 보호대책 선정 High Risk

보호대책이 적절히 선정되고 있는가?

ISMS-P 1.2.4는 위험 분석 결과에 따라 보호대책을 선정하고 우선순위와 이행계획을 수립하도록 요구합니다. 클라우드 환경에서는 Security Hub 권고 + SSM Automation 기반으로 보호대책 자동 매핑 및 이행 자동화가 가능합니다.

📋

ISMS-P 인증 기준

ISMS-P 1.2.4 보호대책 선정 요구사항

1.2.4

보호대책 선정

인증 기준 정의

"위험 분석 결과에 따라 식별된 위험에 대한 보호대책을 선정하고, 보호대책의 우선순위와 일정, 담당자, 소요예산 등을 포함한 이행계획을 수립하여야 한다."

📌 클라우드 환경 적용 포인트

Security Hub Recommendations 활용
Severity 기반 우선순위 분류
SSM Automation 이행 자동화
Config Rules 이행 검증

⚠️ 미준수 시 심사 영향

결함: 보호대책 선정 미수행
결함: 우선순위 결정 기준 부재
권고: 이행계획 수립 미흡

📄 KISA ISMS-P 인증기준 안내서 ↗ ☁️ AWS SSM Automation ↗

📰

실제 보안 사고 사례

보호대책 미이행으로 발생한 실제 사고

2018.11

Marriott 통합 보안 미이행

인수한 Starwood 시스템의 보호대책 미이행으로 4년간 침해 지속. 2014년부터 시작된 공격이 2018년까지 탐지되지 않음. 통합 보안 이행계획 부재로 3억 3,900만 명 고객 정보 유출, ICO로부터 GDPR 벌금 £18.4M 부과.

💡 교훈: M&A 시 통합 보안 이행계획 수립 + 보호대책 우선순위화 필수

출처: Washington Post ↗

2019.05

First American 취약점 방치

발견된 취약점에 대한 보호대책 미이행으로 8억 8,500만 건 문서 노출. IDOR 취약점이 16년간 방치되어 은행 계좌, SSN, 모기지 기록 등 민감 금융 문서가 URL 조작만으로 접근 가능한 상태로 노출.

💡 교훈: Severity 기반 우선순위 결정 + 취약점 즉시 이행 체계 필수

출처: KrebsOnSecurity ↗

⚡

클라우드 환경의 위험

보호대책 이행 체계가 미구축된 상황

❌ 위험 상태

대책 선정: 미수행
우선순위: 미결정
이행계획: 미수립
담당자: 미배정
이행 확인: 미검증

✅ 권장 상태

대책 선정: Security Hub Recommendations
우선순위: Severity 기반 분류
이행계획: SSM Automation Runbooks
담당자: Owner 태그 + 자동 알림
이행 확인: Config Rules Compliance

🚨

발견 사례: 보호대책 이행 체계 미구축

Security Hub의 권고사항이 검토되지 않고, SSM Automation이 미설정되어 발견된 위험에 대한 보호대책이 수동으로만 이행되고 있습니다. 이행 누락 및 지연 위험이 높습니다.

현재 상태 - 보호대책 이행 체계 부재

# Terraform (문제)
# 보호대책 이행 체계 미구축

# Security Hub Insights 미설정
# resource "aws_securityhub_insight" 미존재

# SSM Automation 미설정
# resource "aws_ssm_document" 미존재

# Config Remediation 미설정
# resource "aws_config_remediation_configuration" 미존재

# 우선순위별 알림 미설정
# resource "aws_cloudwatch_event_rule" 미존재

ISMS-P 1.2.4 위반 사항

●

대책 미선정: 권고사항 미검토

●

우선순위 미결정: 분류 체계 없음

●

이행계획 미수립: Automation 없음

●

이행 미확인: Compliance 검증 없음

🔍

사전 탐지 방안

IaC 코드 분석 기반 배포 전 점검

보호대책 이행 체계 탐지 로직

탐지 대상	조건	결과
Security Hub Insights	`aws_securityhub_insight` 미존재	High - 대책 분류 불가
SSM Automation	`aws_ssm_document` (Automation) 미존재	High - 자동 이행 불가
Config Remediation	`aws_config_remediation_configuration` 미존재	High - 연동 이행 불가
우선순위 알림	EventBridge + SNS 미설정	Medium - 담당자 통보 불가

🔔

사후 대응 방안

런타임 모니터링 및 이행 현황 추적

보호대책 이행 현황 대응 로직

탐지 시나리오	조건	결과
미이행 대책	`14일+ 미조치`	High - 에스컬레이션
우선순위 변경	`Severity 상승`	High - 우선순위 재조정
새 권고사항	신규 Recommendation 발생	Medium - 대책 검토 필요
대책 완료	Config Compliance = PASSED	Info - 이행 완료 기록

모든 알림에 포함되는 정보

Finding ID 권고 보호대책 담당 Owner 이행 가이드

✓

조치 가이드

즉시 적용 가능한 권장 설정

권장 설정 (Terraform)

protection-measures.tf

# 1. Security Hub Custom Insights (보호대책 분류)
resource "aws_securityhub_insight" "critical_findings" {
  name               = "critical-unresolved-findings"
  group_by_attribute = "ResourceId"

  filters {
    severity_label {
      comparison = "EQUALS"
      value      = "CRITICAL"
    }
    workflow_status {
      comparison = "EQUALS"
      value      = "NEW"
    }
  }
}

# 2. SSM Automation (자동 이행)
resource "aws_ssm_document" "remediate_public_s3" {
  name            = "RemediatePublicS3Bucket"
  document_type   = "Automation"
  document_format = "YAML"
  content         = file("automation-docs/remediate-s3.yaml")
}

# 3. Config Remediation (자동 연동)
resource "aws_config_remediation_configuration" "s3_public" {
  config_rule_name = aws_config_config_rule.s3_public_read.name
  target_type      = "SSM_DOCUMENT"
  target_id        = aws_ssm_document.remediate_public_s3.name
  automatic        = true
}

# 4. 우선순위별 알림 (담당자 배정)
resource "aws_cloudwatch_event_rule" "critical_to_oncall" {
  name = "critical-findings-to-oncall"

  event_pattern = jsonencode({
    source      = ["aws.securityhub"]
    detail-type = ["Security Hub Findings - Imported"]
    detail = {
      findings = { Severity = { Label = ["CRITICAL"] } }
    }
  })
}

💡

Security Hub Insights

보호대책 분류

⚙

SSM Automation

자동 이행 Runbooks

🔗

Config Remediation

자동 연동 이행

🔔

우선순위 알림

Severity별 담당자 통보

📊

리포트 방안

ISMS-P 심사 증적 및 정기 보고

📋 진단 항목

보호대책 선정 현황
우선순위 분류 현황
Automation Runbook 개수
이행 완료율
미이행 대책 수

📅 리포트 주기

일간

미이행 대책 알림

주간

이행 현황 요약

월간

ISMS-P 증적 리포트

📤 발송 및 저장

발송 채널

Email Slack

저장소

S3 (5년 보관)

⚡

BSG 차별점

기존 도구가 놓치는 점검 영역

기존 도구 방식

Findings 존재 여부만 확인

보호대책 매핑 미검증
SSM Automation 미확인
Config Remediation 미검사
이행 현황 미추적

한계: ISMS-P 관점의 보호대책 이행 체계 전체를 점검하지 않음

BSG 접근 방식

ISMS-P 관점 통합 점검

선정: Security Hub 권고 매핑 검증
우선순위: Severity 기반 분류 확인
이행: SSM Automation 연동 검증
증적: 이행 현황 리포트 자동화

차별점: 인증 기준 관점에서 선정 → 이행 → 검증 전 과정 자동화

← ISMS-P Compliance Support로 돌아가기